📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global phishing تكنولوجيا المعلومات HIGH 18m Global ransomware قطاعات متعددة CRITICAL 19m Global malware قطاعات متعددة CRITICAL 23m Global general الأمن السيبراني LOW 35m Global vulnerability تكنولوجيا المعلومات CRITICAL 39m Global vulnerability التكنولوجيا والبرمجيات CRITICAL 1h Global general تكنولوجيا الأمن السيبراني LOW 1h Global vulnerability مراكز البيانات والبنية التحتية الحرجة CRITICAL 2h Global general أمن المؤسسات والحوكمة HIGH 2h Global phishing الجمهور العام / قطاعات متعددة HIGH 2h Global phishing تكنولوجيا المعلومات HIGH 18m Global ransomware قطاعات متعددة CRITICAL 19m Global malware قطاعات متعددة CRITICAL 23m Global general الأمن السيبراني LOW 35m Global vulnerability تكنولوجيا المعلومات CRITICAL 39m Global vulnerability التكنولوجيا والبرمجيات CRITICAL 1h Global general تكنولوجيا الأمن السيبراني LOW 1h Global vulnerability مراكز البيانات والبنية التحتية الحرجة CRITICAL 2h Global general أمن المؤسسات والحوكمة HIGH 2h Global phishing الجمهور العام / قطاعات متعددة HIGH 2h Global phishing تكنولوجيا المعلومات HIGH 18m Global ransomware قطاعات متعددة CRITICAL 19m Global malware قطاعات متعددة CRITICAL 23m Global general الأمن السيبراني LOW 35m Global vulnerability تكنولوجيا المعلومات CRITICAL 39m Global vulnerability التكنولوجيا والبرمجيات CRITICAL 1h Global general تكنولوجيا الأمن السيبراني LOW 1h Global vulnerability مراكز البيانات والبنية التحتية الحرجة CRITICAL 2h Global general أمن المؤسسات والحوكمة HIGH 2h Global phishing الجمهور العام / قطاعات متعددة HIGH 2h
الثغرات

CVE-2026-10688

متوسط
CWE-74 — نوع الضعف
نُشر: Jun 2, 2026  ·  آخر تحديث: Jun 5, 2026  ·  المصدر: NVD
CVSS v3
5.5
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

A vulnerability was determined in ahujasid blender-mcp up to 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b. The impacted element is the function execute_blender_code of the file /src/blender_mcp/server.py. This manipulation of the argument code causes code injection. The attack is possible to be carried out remotely. The exploit has been publicly disclosed and may be utilized. This product adopts a rolling release strategy to maintain continuous delivery. Therefore, version details for affected or updated releases cannot be specified. The project was informed of the problem early through an issue report but has not responded yet.

🤖 ملخص AI

CVE-2026-10688 is a code injection vulnerability in ahujasid blender-mcp affecting the execute_blender_code function, allowing remote code execution through unsanitized input. With a CVSS score of 5.5 and publicly disclosed exploit details, this poses a moderate risk to organizations using this component. No patch is currently available, requiring immediate compensating controls and monitoring.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Jun 4, 2026 08:49
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi organizations using blender-mcp in development, design, or automation workflows. Most at-risk sectors include: Government (digital transformation initiatives using open-source tools), Media & Entertainment (3D design studios), Engineering firms, and Technology companies. The lack of available patch and rolling release strategy creates sustained risk for Saudi enterprises relying on this component for critical design or rendering operations.
🏢 القطاعات السعودية المتأثرة
Government Media & Entertainment Engineering & Design Technology & Software Development Education & Research
⚖️ درجة المخاطر السعودية (AI)
6.2
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:

1. Inventory all systems using ahujasid blender-mcp and document versions/commit hashes

2. Isolate affected systems from production networks if possible

3. Implement network segmentation to restrict access to execute_blender_code endpoints

4. Disable or restrict the execute_blender_code function if not critical to operations



Compensating Controls:

1. Implement strict input validation and sanitization for all code parameters using allowlist-based filtering

2. Deploy Web Application Firewall (WAF) rules to detect code injection patterns (eval, exec, __import__, etc.)

3. Run blender-mcp in containerized environments with restricted capabilities and resource limits

4. Implement code review processes for any user-supplied code before execution

5. Use SELinux or AppArmor to restrict process capabilities



Detection Rules:

1. Monitor for suspicious patterns in execute_blender_code function calls containing: eval, exec, __import__, os.system, subprocess

2. Alert on unexpected child process spawning from blender-mcp processes

3. Log all code execution requests with full payload for forensic analysis

4. Monitor file system access patterns for unauthorized modifications



Patching Strategy:

1. Monitor the project repository for security updates

2. Establish automated testing for any updates before deployment

3. Consider forking and maintaining a patched version internally if critical to operations
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. حصر جميع الأنظمة التي تستخدم ahujasid blender-mcp وتوثيق الإصدارات/بصمات الالتزام

2. عزل الأنظمة المتأثرة عن شبكات الإنتاج إن أمكن

3. تطبيق تقسيم الشبكة لتقييد الوصول إلى نقاط نهاية execute_blender_code

4. تعطيل أو تقييد دالة execute_blender_code إذا لم تكن حرجة للعمليات



الضوابط التعويضية:

1. تطبيق التحقق الصارم من صحة المدخلات والتطهير لجميع معاملات الأكواد باستخدام تصفية قائمة بيضاء

2. نشر قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن أنماط حقن الأكواد

3. تشغيل blender-mcp في بيئات حاويات مع قدرات مقيدة وحدود موارد

4. تطبيق عمليات مراجعة الأكواد لأي أكواد يوفرها المستخدم قبل التنفيذ

5. استخدام SELinux أو AppArmor لتقييد قدرات العملية



قواعد الكشف:

1. مراقبة الأنماط المريبة في استدعاءات دالة execute_blender_code التي تحتوي على: eval, exec, __import__, os.system, subprocess

2. التنبيه على توليد عمليات فرعية غير متوقعة من عمليات blender-mcp

3. تسجيل جميع طلبات تنفيذ الأكواد مع الحمولة الكاملة للتحليل الجنائي

4. مراقبة أنماط الوصول إلى نظام الملفات للتعديلات غير المصرح بها



استراتيجية التصحيح:

1. مراقبة مستودع المشروع للتحديثات الأمنية

2. إنشاء اختبارات آلية لأي تحديثات قبل النشر

3. النظر في نسخ المشروع والحفاظ على نسخة معدلة داخلياً إذا كانت حرجة للعمليات
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment
🔵 SAMA CSF
ID.RA-1 - Asset management and vulnerability identification PR.DS-6 - Data security and integrity controls DE.CM-8 - Vulnerability scans and assessments
🟡 ISO 27001:2022
A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Secure development policy A.14.2.5 - Secure development environment A.12.2.1 - Change management procedures
📊 CVSS Score
5.5
/ 10.0 — متوسط
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionR — Required
ScopeU — Unchanged
ConfidentialityL — Low / Local
IntegrityL — Low / Local
AvailabilityL — Low / Local
📋 حقائق سريعة
الخطورة متوسط
CVSS Score5.5
CWECWE-74
EPSS0.04%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-06-02
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
6.2
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-74
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.